zwalone polecenie mail
Jakub Bogusz
qboosh w pld.org.pl
Nie, 26 Sty 2003, 02:21:37 CET
On Sat, Jan 25, 2003 at 10:04:18AM +0100, Witek Kręcicki wrote:
> On Sat, 25 Jan 2003 09:41:53 +0100 (CET)
> Andrzej Krzysztofowicz <ankry w green.mif.pg.gda.pl> wrote:
> > > W liście z pią, 24-01-2003, godz. 15:31, Jarosław Kamper pisze:
> > To raczej powinno tam byc 1777 (777 + sticky)
> >
> > Albo trzeba nauczyc *wszystkie* programy piszace do /var/mail/*
> > (MUA, MTA, serwery POP/IMAP, ...)
> > konsekwentnego stosowania innej metody blokowania skrzynek pocztowych.
> >
> > Nie wiem, jakich metod obecnie uzywaja elm i pine, ale nie widza wzajemnie
> > swoich blokad.
> Tyle że wtedy aż się prosi o problemy.... nie lubimy kogoś, no to
> touch /var/mail/uname.lock i ma przechlapane :/ Może 775/root:mail na
> /var/mail i sgid mail na wszystkie MUA? To przynajmniej troche
> bezpieczniejsze... (choc i tak nie rozwiązuje problemu)
Nie nie, MUA nie są robione z myślą o ustawianiu s[ug]id.
Znajdzie się jakiś błąd w programie - w obsłudze parametrów czy
konfiguracji, co nie jest traktowane jako błąd security (i mało
prawdopodobne, żeby nie było żadnego), albo sam program umożliwia
wykonanie zewnętrznego polecenia (chyba większość MUA) i można zepsuć
jeszcze więcej (rm -f /var/mail/*).
--
Jakub Bogusz http://www.cs.net.pl/~qboosh/
Więcej informacji o liście dyskusyjnej pld-devel-pl